Início / computer / Perguntas / 1485171
Accepted
DisplayNeth
Asked: 2019-09-23 12:24:56 +0800 CST

Não é possível carregar /root/.rnd no RNG: onde posso encontrá-lo ou como criá-lo?

  • 772

Estou tentando configurar um servidor VPN com OpenVPN, em um Ubuntu Server 18.04, e quero usar o EasyRSA para construir meu PKI CA.

Então, enquanto conectado como root, inicio os scripts EasyRSA que copiei para /etc/openvpn/easy-rsa. Tudo funciona bem com ./clean-alle ./build-dh, mas quando tento iniciar ./pkitool --initca, recebo este erro:

Can't load /root/.rnd into RNG
140171234709952:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/root/.rnd

No arquivo confing openssl ( /etc/openvpn/easy-rsa/openssl-1.0.0.cnf), encontro esta linha que indica porque ele tenta alcançar /root/.rnd:

RANDFILE    = $ENV::HOME/.rnd

Pelo que li e entendi online, .rndé uma semente que o openssl usa para gerar números aleatórios. O estranho é que, embora eu receba esse erro, a chave privada RSA É gerada pelo script. Só temo que não seja aleatório, pois falta uma semente.

Então meu problema é: esse arquivo não existe no meu sistema, não está no /root/, não /home/user/está no meu único outro usuário e find / -name ".rnd"não retorna nada. Mesmo find / -iname "*.rnd"retorna nada.

E nem sei como posso criá-lo, ou se entendi tudo errado.

openssl random-number-generator

4 respostas

  1. Best Answer

    mesmo que eu receba esse erro, a chave privada RSA É gerada pelo script

    O arquivo não precisa existir; O OpenSSL o cria sozinho após a primeira vez.

    Só temo que não seja aleatório, pois falta uma semente.

    O sistema operacional fornece a semente usando seu próprio RNG por /dev/urandommeio de chamadas de sistema como getentropy()ou CryptGenRandom(). Não há necessidade de você fornecer nada extra.

    Eu acho que o .rndarquivo é mais ou menos uma sobra dos dias em que o sistema operacional não tinha um bom CSPRNG, possivelmente quando o Linux /dev/urandomera considerado de baixa qualidade (e /dev/randomproduzia dados muito lentamente devido à "contabilidade de entropia"). Agora não é mais o caso, e confiar inteiramente em uma semente armazenada em algum arquivo em seu homedir seria realmente menos seguro.

    • 11

  2. Crie um no caminho esperado

    cd ~/; openssl rand -writerand .rnd
    • 10

  3. O OpenSSL o cria sozinho após a primeira vez.

    Na verdade, não, não importa quantas vezes eu inicie o script ou se eu apenas tentar usar o openssl randcomando diretamente, ele nunca será criado.

    Mas você estava certo: gerei duas chaves para verificar se eram diferentes e eram.

    Obrigado pela ajuda.

    • 4

  4. Observe a linha RANDFILE em /etc/ssl/openssl.conf mais

    • 2

relate perguntas